본문 바로가기 주메뉴 바로가기 검색 바로가기
일반 랜섬웨어와 다른 ‘디어크라이’, 중국의 익스체인지 서버 해킹 악용
상태바
일반 랜섬웨어와 다른 ‘디어크라이’, 중국의 익스체인지 서버 해킹 악용
디어크라이는 마이크로소프트의 익스체인지 서버 취약점을 악용한 최초의 랜섬웨어이다. 그러나 엉성한 것으로 확인됐으며, 대대적인 위협을 가하지는 못했다.
By BRIAN BARRETT, WIRED US

2021년 3월 초, 마이크로소프트가 중국의 해킹 행위가 역사적인 해킹 공격으로 규모가 커진 사실을 발표했다. 이때, 여러 소식통이 또 다른 여러 사이버 범죄가 중국의 해킹 공격이 미치는 영향에 편승할 것을 우려한 것은 타당한 일이었다. 사실, 중국의 해킹이 발생하고 얼마 지나지 않아 이를 악용한 각종 사이버 범죄가 등장했다. 디어크라이(DearCry)라는 신종 랜섬웨어가 3월 9일(현지 시각), 중국 해커 조직이 노린 것과 똑같은 취약점을 이용해 익스체인지 서버를 공격했다. 디어크라이가 처음 등장했으나 이를 면밀히 조사하자 기이한 형태의 사이버 범죄인 것으로 파악됐다.

디어크라이가 독특한 수준으로 매우 교묘하기 때문이 아니다. 사실, 오늘날 랜섬웨어 세계에 널리 퍼진 각종 랜섬웨어와 비교했을 때, 디어크라이는 특히 엉성하다. 기초적인 수준이면서 의도적으로 명령 및 제어 서버와 자동화된 카운트다운 타이머 사용을 기피하고, 직접 사람과 상호작용한다. 디어크라이는 네트워크 방어 프로그램이 감지하고 사전에 차단하기 어렵게 만드는 기본적인 불확실한 수법이 없다. 또한, 특정 파일 유형을 암호화해, 피해자가 컴퓨터에 악성 프로그램이 운영된다는 사실 자체를 알아내는 것은 물론이고, 심지어 데이터 값을 내고 있다는 사실도 알아차리기 어렵게 만든다.

보안 기업 소포스(Sophos)의 차세대 기술 엔지니어링 총괄 마크 로만(Mark Loman)은 “일반적으로 랜섬웨어 공격자는 실행할 수 있는 파일이나 DLL 파일을 암호화하지 않는다. 파일을 암호화하면, 데이터 접근을 막는 것을 넘어서 피해자의 컴퓨터를 더 이용하기 어렵기 때문이다. 공격자는 비트코인 이체를 위해 피해자가 컴퓨터를 사용하도록 하기 원할 수 있다”라고 말했다.

또 한 가지 이해하기 어려운 부분이 있다. 디어크라이의 특정한 특징은 악명높은 랜섬웨어 웜인 워너크라이(WannaCry)와 밀접한 관련이 있다. 워너크라이는 2017년, 보안 연구원 마커스 허친스(Marcus Hutchins)가 순식간에 제거한 차단 프로그램을 발견할 때까지 겉잡을 수 없는 수준으로 퍼졌다. 우선, 디어크라이와 워너크라이의 특징 중, 이름이 비슷하다. 디어라이는 웜은 아니지만, 워너크라이와 비슷한 특정 행동 양상을 보였다. 모두 공격 대상으로 삼은 파일을 복사한 뒤 이를 의미 없는 텍스트로 덮어썼다. 그리고, 디어크라이의 헤더에는 워너크라이와 비슷하게 보안이 침해된 파일을 추가된다.
 
[사진=Freepik]
[사진=Freepik]

공격 전 행동도 비슷하지만, 깊이 살펴볼 정도의 가치가 있는 것은 아니다. 바이러스 방지 기업 엠시소프트(Emsisoft)의 위협 분석가 브렛 칼로우(Brett Callow)는 “랜섬웨어 개발자가 자체 코드에 더 유명한 다른 랜섬웨어의 스니펫을 사용하는 일은 매우 흔하다”라고 설명했다.

또, 칼로우는 디어크라이가 서서히 사라지기 전, 빠르게 랜섬웨어 공격을 시작했으며, 랜섬웨어 세계의 더 심각한 공격자가 익스체인지 서버 취약점을 악용하기 위해 뛰어들지 않은 점이 특이하다고 말했다.

랜섬웨어 과정이 제대로 연계되지 않은 것도 분명하다. 디어크라이 공격의 배후에 있는 해커는 중국 해커 집단이 악용한 해킹 공격을 놀라울 정도로 빠른 속도로 역설계했지만, 랜섬웨어를 제작하는 데 특별히 능숙하지는 않은 것처럼 보인다. 단순히 적용할 수 있는 능력의 문제 때문일 수 있다고 설명할 수 있다. 맨디언트 위협 인텔리전스(Mandiant Threat Intelligence) 소속 분석 수석 관리자 제레미 케넬리(Jeremy Kennelly)는 “익스체인지 서버를 악용한 것을 개발하고 무기화하는 것은 멀웨어 개발과는 매우 다른 작업이다. 단순히 익스체인지 서버 취약점을 매우 빠르게 악용한 디어크라이 공격자가 다른 공격자처럼 사이버 범죄 생태계에 연결되지 않았을 수도 있다. 또, 대규모 랜섬웨어 관련 프로그램, 그리고 더 강력한 랜섬웨어 조직에 접근하지 않았을 수도 있다”라고 설명했다.

그릴 마스터와 제빵사의 차이를 생각해보아라. 그릴 마스터와 제빵사 모두 주방에서 살다시피 생활하지만, 상당히 다른 요리 능력을 지니고 있다. 스테이크를 요리하던 상황에서 제빵을 해야만 하는 상황이라면, 먹을 수 있는 수준으로 빵을 만들어내도 매우 훌륭하게 만들어 내지는 못할 수도 있다.

로만 총괄은 “디어크라이 공격은 실제로 랜섬웨어 초보자가 제작했거나 혹은 신종 랜섬웨어의 원형일 수도 있다”라고 언급했다.

그러나 이는 디어크라이가 위험하지 않다는 뜻은 아니다. 디어크라이의 멀웨어 코드를 검증했으나 직접 감염 문제를 다루지 않은 케넬리는 “암호화 알고리즘은 제법 논리적이며, 제 기능을 하는 것처럼 보인다. 실제로 랜섬웨어에 필요한 모든 것을 갖추었다”라고 말했다.

디어크라이의 결함은 디어크라이 그 자체만큼 상대적으로 쉽게 수정할 수 있다. 칼로우는 “랜섬웨어는 보통 시간이 지나면서 진화한다. 만약, 코드에 문제가 있다면, 서서히 코드를 수정한다. 간혹 코드가 재빨리 수정될 때도 있다”라고 설명했다.

적어도 디어크라이는 나중에 발생할 위험을 알리는 신호 역할을 한다. 보안 기업 크립토스 로직(Kryptos Logic)은 최근, 마이크로소프트 익스체인지 서버를 스캔하면서 총 2만 2,731개의 웹셸을 발견했다. 웹셸 모두 해커가 자체 개발한 멀웨어를 유포할 기회가 될 수도 있다. 디어크라이가 중국의 대대적인 익스체인지 서버 해킹을 악용한 첫 번째 랜섬웨어가 될 수도 있지만, 최악의 랜섬웨어가 아닌 것은 거의 확실하다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
The Peculiar Ransomware Piggybacking Off of China’s Big Hack
이 기사를 공유합니다
RECOMMENDED